São Paulo — InkDesign News — Uma nova vulnerabilidade, agora conhecida como RediShell (CVE-2025-49844), afetou severamente o Redis, um dos bancos de dados de código aberto mais utilizados. A falha, classificada com uma pontuação máxima de CVSS de 10, foi descoberta por pesquisadores e divulgada no dia 3 de outubro.
Incidente e vulnerabilidade
A vulnerabilidade se origina de um bug de uso após liberação (use-after-free) no interpretador Lua do Redis, facilitando a execução de scripts maliciosos. Os atacantes conseguem escapar da sandbox do interpretador e executar código arbitrário no sistema hospedeiro. Este nível de acesso abre possibilidades para o roubo de dados, instalação de malware ou a utilização de servidores comprometidos para ataques adicionais.
Impacto e resposta
Pesquisadores do Wiz estimam que cerca de 330 mil instâncias do Redis estejam expostas à internet, das quais aproximadamente 60 mil operam sem autenticação. Mesmo dentro de redes internas, a falha representa um risco considerável caso a autenticação seja fraca ou inexistente, permitindo que invasores já presentes em um ambiente corporativo explorem a vulnerabilidade para movimentos laterais. Medidas de contenção foram adotadas prontamente pelo time do Redis, que liberou uma versão corrigida do software e um advisory de segurança após um processo colaborativo de divulgação com os pesquisadores do Wiz.
Mitigações recomendadas
Os usuários do Redis são instados a atualizar para a última versão e verificar suas configurações. Recomenda-se habilitar a autenticação, desabilitar a execução de scripts Lua quando não forem necessários, restringir o acesso de rede e executar o Redis sob uma conta não-root. Monitoring e log devem ser ativados para detectar atividades incomuns.
“Esta vulnerabilidade recém-divulgada no Redis é um lembrete de que a dívida técnica não reside apenas no código; ela também habita na configuração. Treze anos de risco latente emergiram devido à configuração padrão e à segmentação fraca que passaram despercebidas.”
(“This newly disclosed Redis vulnerability is a reminder that technical debt doesn’t just live in code; it lives in configuration. Thirteen years of latent risk surfaced because default settings and weak segmentation went unobserved.”)— Anders Askasen, VP de Marketing de Produto, Radiant Logic
A vulnerabilidade RediShell evidencia a dependência crescente das infraestruturas modernas em softwares de código aberto e como códigos antigos podem carregar riscos ocultos por anos. Com mais de três quartos dos ambientes de nuvem utilizando o Redis, o patching e o reforço nas configurações de segurança devem ser tratados como prioridades imediatas.
Fonte: (Hack Read – Segurança Cibernética)
